概要
Web アプリケーションが 500 コードを返します。
説明
リモートサービスでホストされている Web アプリケーションは、発見された CGI が無効な値で呼び出されると、50x 応答コードを返しました。これらのコードには、いくつかのオリジンが存在する可能性があります:
- Web アプリケーションのファイアウォールまたは別の保護メカニズムは、不意にリクエストに割り込むことがあります。
- 一時的な Web サーバーまたはバックエンドの不具合が存在する可能性があります。このような場合の共通のコードは、503「Service Unavailable」(サービスが利用できません)または 504「Gateway Timeout」(ゲートウェイタイムアウト)です。
- プロセスエラーにより、CGI やバックエンドモジュールのクラッシュが発生します。このような場合、500「Internal Server Error」(内部サーバーエラー)または 502「Bad Gateway」(ゲートウェイが不適切です)のようなコードが表示されます。
Nessus テストでは、501「Not Implemented」(実装されていません)または 505「HTTP Version Not Supported」(HTTP バージョンはサポートされていません)が表示されます。
報告されている CGI は監査される必要があります。
ソリューション
- 関連の CGI の監査
- 無効な形式の入力データのフィルター除外
- 処理エラーのトラップ
プラグインの詳細
ファイル名: torture_cgi_50x.nasl
サポートされているセンサー: Nessus
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests, Settings/HTTP/OWASP10